Dopo 4 anni di lavoro la Commissione Europea sta per approvare definitivamente una riforma che porterà cambiamenti importanti riguardo la privacy dei cittadini europei: la riforma della normativa sul trattamento dei dati personali.
Era il lontano gennaio 2012 quando la Commissione Europea decise di presentare un pacchetto legislativo con l’obiettivo di aggiornare la attuale normativa risalente al 1995 che era stata recepita dall’Italia con la legge 675/96 e successivamente inclusa nel testo unico del 2003.
Questo pacchetto è composto da una direttiva riguardante l’utilizzo dei dati personali che, come ogni direttiva, deve essere recepita (e quindi “trasformata” in legge da tutti gli stati membri) e da un regolamento (destinato a tutti i privati cittadini, a tutte le aziende e a parte degli enti pubblici) applicabile senza necessità di recepimento.
Il voto definitivo del Parlamento Europeo dovrebbe arrivare nel mese di marzo 2016 e l’entrata in vigore dovrebbe essere fissata per marzo 2018.
L’UE ha scelto di riformare la normativa sul trattamento dei dati personali principalmente a causa dell’incredibile evoluzione tecnologica degli ultimi 15 anni ed anche a causa delle difficoltà di regolamentazione relative ai rapporti tra privati cittadini e aziende europee ed aziende extra-europee.
I principali obiettivi del regolamento definito dalla Commissione Europea sono:
- rendere più attuali i principi contenuti nella direttiva del 1995 ed introdurre un testo normativo unico direttamente applicabile in tutti i 28 paesi dell’Unione Europea;
- definire i diritti delle persone fisiche in modo chiaro e stabilire inoltre gli obblighi di tutti quei soggetti che trattano o sono responsabili del trattamento dei dati;
- stabilire le metodologie per garantire il rispetto delle norme oltre alle sanzioni previste per coloro i quali violano queste norme.
In data 18 dicembre 2015 è arrivata l’approvazione del testo di compromesso definitivo del regolamento da parte del CoRePer (Comitato dei Rappresentanti Permanenti). Rimangono quindi solamente alcune formalità burocratiche prima della pubblicazione in Gazzetta Ufficiale dell’Unione Europea.
Sono 4 i temi principali che il nuovo regolamento affronta, vediamoli di seguito.
Diritti degli interessati
Grazie al nuovo regolamento vengono rafforzati i diritti delle persone fisiche europee che avranno maggiore controllo sui propri dati grazie a:
- necessità di “chiaro consenso” dell’interessato per poter trattare i suoi dati;
- accesso semplificato da parte dell’interessato ai propri dati personali;
- diritto di rettifica, cancellazione e “oblio”;
- diritto di obiezione (anche riguardo l’utilizzo dei dati personali ai fini di profilazione)
- diritto di portabilità dei propri dati personali da un fornitore di servizi ad un altro.
Titolari del trattamento
Nel nuovo regolamento sono specificati gli obblighi generali dei titolari del trattamento dei dati personali e di quelle figure che trattano i dati per conto di un’azienda (definiti come “incaricati al trattamento”).
I più rilevanti obblighi in questo senso sono:
- obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati;
- obbligo di comunicazione delle violazioni dei dati personali (“data breach notification”);
- obbligo di nomina di un Data Privacy Officer in caso vengano svolte attività di trattamento dei dati rischiose.
Garanti della privacy
Il regolamento conferma l’obbligo, già in essere per gli stati membri, di istituire un’autorità di controllo indipendente. Inoltre l’obiettivo è quello di istituire meccanismi appositi per garantire la coerenza nell’applicazione della normativa in tutti i paesi dell’Unione Europea. In particolare nelle dispute transfrontaliere, una società con controllate in diversi stati dovrà interagire solamente con l’autorità preposta nello stato membro in cui è presente lo stabilimento principale.
È prevista l’istituzione di un Comitato Europeo per la Protezione dei Dati che includerà i rappresentati di tutti gli stati membri.
È riconosciuto il diritto di presentare reclamo all’autorità di controllo, il diritto ad un ricorso giurisdizionale ed al risarccimento e responsabilità. Inoltre è previsto il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni prese dalle autorità preposte alla protezione dei dati.
Per quanto riguarda le sanzioni, sono previste multe fino a 20 milioni di €uro o fino al 4% del fatturato per i responsabili o gli incaricati del trattamento che violano le norme.
Trasferimenti di dati
Il regolamento prevede la possibilità di trasferimento di dati personali a paesi terzi ed organizzazioni internazionali previa valutazione del livello di protezione offerto dal territorio o dal settore di trattamento del paese terzo eseguita dalla Commissione.
In caso di non adeguatezza, il trasferimento può avvenire ma solamente in casi particolari oppure se esistono adeguate garanzie (clausole di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali).
